CVE-2024-12797 修复指南

发布于 作者:

CVE-2024-12797 修复指南

原创 ralap 网络个人修炼 2025-02-14 02:01

CVE-2024-12797 是一个针对 OpenSSL 库的安全漏洞,它可能允许攻击者通过特定方式操纵加密通信或数据,从而导致信息泄露或其他安全隐患。

关键点:
– 默认情况下,TLS 客户端和 TLS 服务器都禁用了 RPK(Raw Public Key)。只有当 TLS 客户端明确允许服务器使用 RPK,并且服务器也允许发送 RPK 而不是 X.509 证书链时,问题才会出现。

  • 受影响的客户端是那些将验证模式设置为 
    SSL_VERIFY_PEER
    ,从而在服务器 RPK 与预期公钥之一不匹配时依赖握手失败的客户端。

  • 漏洞源于 OpenSSL 3.2 版本引入的 RPK 实现缺陷,后续版本(如 3.3 和 3.4)继承了此问题。

RPK 是一种用于 TLS 协议的身份验证机制,通常在物联网(IoT)设备和其他资源受限的环境中使用。尽管大多数应用场景不会涉及 RPK,但为了确保系统的安全性并体验最新功能,建议升级到最新的 OpenSSL 版本。

升级步骤

以下是从 OpenSSL 3.2.3 升级到 3.4.1 的详细步骤:

1.下载最新稳定版 OpenSSL

前往OpenSSL官方网站下载最新的稳定版(https://openssl-library.org/source/,或在后台回复“openssl”关键字获取)

2.解压源码

解压缩下载的文件: 

tar -zxvf openssl-3.4.1.tar.gz
cd openssl-3.4.1

3.配置编译选项

使用以下命令配置编译选项,指定安装路径为 
/usr
 并启用共享库支持: 

./config --prefix=/usr --shared

4.编译并安装

编译并安装 OpenSSL: 

make && make install

如果在此过程中遇到缺少 
Data::Dumper
 模块的错误,请按照以下步骤解决:

安装 
perl-Data-Dumper
 模块: 

yum install perl-Data-Dumper -y

安装完成后,重新运行编译和安装命令。

5.验证安装

安装完成后,验证 OpenSSL 是否已成功更新至 3.4.1 版本: 

openssl version

参考链接

https://openssl-library.org/source/

https://openssl-library.org/news/secadv/20250211.txt